Best IT Pro News: Информационные технологии. Новостной портал.

Информация о пользователе

Привет, Гость! Войдите или зарегистрируйтесь.



Microsoft Forefront против ISA Server 2006

Сообщений 1 страница 5 из 5

1

Привет честной компании!

Вы тут в своих услугах везде толкаете ИСУ: http://best-itpro.narod.ru/service-1.html, http://best-itpro.narod.ru/service-2.html

А как же новый Forefront? Вы о нём слыхали или слегка подзависли в прошлом?
:D

0

2

Привет, Коллега!

Конечно, мы слышали об этом творении Microsoft, и не только слышали… ;)

Только вот это ж всё на выбор заказчика – захочет ForeFront, получит.
Просто есть такие организации, как ФСБ и ФСТЭК, а они не слишком быстро сертификаты раздают. У нас на сайте, в разделе «Автоматизация» есть ссылочка (в самом низу). Так вот по ней можно увидеть инфо от самих Microsoft на предмет того, какие из продуктов сертифицированы. Фронта там пока ещё нет, только ISA! Как Фронт получит, так и его толкать будем, нам то всё равно.
:D

Тем клиентам, кто хочет работать на продуктах Microsoft и при этом обладать лицензиями ФСЭК или ФСБ, особо выбирать не приходится.
Сейчас вообще торопиться не стоит. Интересная инфо.

0

3

Ок! Вас понял!
:flag:

Кто понял жизнь, тот не спешит!
:D

Не, ну вопрос и правда серьёзный. Sorry  :tomato:

0

4

SerG написал(а):

Кто понял жизнь, тот не спешит!

Спасибо, SerG, за тему!
Про Фронт действительно надо что-нибудь запостить.  ;)

0

5

Переход с Microsoft ISA Server 2006 на Microsoft Forefront.

Система Microsoft Forefront TMG (Threat Management Gateway – Шлюз управления внешними угрозами) является прямым наследником ISA Server 2006 и будет доступна в 2009. В этой статье мы используем бета-версию Microsoft Forefront TMG. Если вы хотите попробовать Forefront TMG в действии, публичная бета-версия доступна на следующем вебсайте: http://www.microsoft.com/forefront/ru/ru/default.aspx. Если вы хотите ознакомиться с специальной версией Microsoft Forefront TMG, уже являющейся RTM, вам нужно попробовать Microsoft Windows Essential Business Server 2008, уже содержащий Forefront Threat Management Gateway, Medium Business Edition. Но не забывайте, что это не та версия, которую Microsoft опубликует в качестве отдельного продукта.

Но перед тем как обновлять ISA Server 2006 до Microsoft Forefront TMG, необходимо осознать следующие ограничения:

* Вы не можете перейти с ISA Server 2006 на Forefront TMG на одной машине, так как ISA Server 2006 предназначен только для 32-битных систем, а Forefront TMG запустится только на Windows 2008 64 Bit;
* ISA Server 2006 невозможно обновить до Forefront TMG во время обновления на месте Windows Server 2003 до Windows Server 2008;
* Microsoft Forefront TMG не поддерживает более 300 лицензированных пользователей;
* Не существует возможности перехода с ISA Server 2006 Enterprise на Microsoft Forefront TMG;
* Не существует возможности перехода с ISA Server 2000 и 2004 на Forefront TMG, сначала обе эти версии нужно обновить до ISA Server 2006;
* Вы не сможете обновить ISA Server 2006 Standard Edition в режиме рабочей группы до Forefront TMG. ISA 2006 должна являться членом домена, но есть возможность перейти с ISA 2006 на Forefront TMG, не являясь частью домена Windows;
* Если у вас включена сеть Local Host для прослушивания клиентских запросов Web-прокси, эта опция не будет перенесена;
* В процессе перехода поля журнала, выбранные вами в ISA Server 2006, не будут переноситься;
* Настройки отчета о конфигурации не переносятся;
* Все функции ISA Server 2006 Supportability Pack не будут доступны после перехода, но мне кажется, что многие из этих функций будут частью Forefront TMG, когда продукт будет закончен;
* Перед тем, как обновляться до Forefront TMG, проверьте, совместимо ли другое ПО с Microsoft Forefront TMG.

Требования к установке для Forefront Threat Management Gateway:

* Компьютер с 64-битным процессором;
* Операционная система Windows Server 2008 64-bit;
* 1 ГБ или более оперативной памяти;
* 150 МБ свободного места на диске и еще немного свободного места для дополнительных файлов журнала, кэша и временных файлов (Внимание: в процессе установки TMG утверждается, что необходимо 630 МБ);
* Файловая система раздела должна быть NTFS;
* Минимум одна сетевая карта в случае, если Forefront TMG будет использоваться в качестве proxy или реверсного сервера публикования. Для полной функциональности в качестве брандмауэра необходима одна или несколько дополнительных сетевых карт.

Другие соображения.

Есть еще некоторые соображения, которые нужно учитывать при планировании использовать Forefront TMG. Эту информацию я нашел на вебсайте Microsoft Forefront TMG.
Forefront TMG, установленный по сценарию Essential Business Server, перехватывает весь IPv6 трафик. Для последующей установки Forefront TMG обратите внимание вот на что:

* Forefront TMG отказывает в IPv6 трафике;
* ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) отключается;
* Интерфейс 6to4 отключается. Этот механизм позволяет пакетам IPv6 передаваться по сети IPv4;
* При перезапуске службы Forefront TMG Control сервер Forefront TMG перерегистрируется с DNS для того, чтобы осталась только одна запись A для сервера, и не было записи AAAA (IPv6). Также очищается кэши DNS, Address Resolution Protocol (ARP) и Neighborhood Discovery (IPv6 версия ARP);
* Изменение папки установки Forefront TMG не поддерживается;
* По умолчанию система Forefront TMG настроена на ведение журнала в локальной базе данных SQL Server Express. Forefront TMG устанавливает несколько компонентов SQL Server Express, включая компоненты для журнала и отчетов;
* Forefront TMG устанавливает роль Web Server (IIS). Обратите внимание, что этот компонент не удаляется при удалении Forefront TMG;
* Службы и файлы драйверов, установленные Forefront TMG помещаются в папку установки Forefront TMG;
* Вы можете использовать Forefront TMG на компьютере с одной сетевой картой. Обычно вы будете так делать, когда другой брандмауэр располагается на границе сети, соединяя ваши корпоративные ресурсы с Интернетом.

Процесс перехода.

Итак, теперь, когда мы обсудили некоторые ограничения, касающиеся процесса перехода, и требования к установке Microsoft Forefront TMG, я покажу вам в обобщенном виде шаги по обновлению ISA Server 2006 до Microsoft Forefront TMG:

* Экспортируйте конфигурацию ISA Server 2006 в XML файл;
* Установите Microsoft Forefront TMG на 64-битную машину;
* Импортируйте экспортированный ISA Server 2006 XML файл в консоль управления Forefront TMG;
* Проверьте функциональность, доступные текущие исправления, журналы событий и т.п.;
* Модифицируйте настройки сертификата и VPN аутентификации при необходимости;
* Удалите старую систему ISA Server 2006 и поставьте новую систему Forefront TMG в вашу среду.

Внимание: в статье мы работаем с бета-версией Forefront TMG. Не стоит использовать эту версию как функциональный сервер.

Экспорт настроек.

Сначала выполните вход на машину с ISA Server 2006, запустите консоль управления ISA Server 2006 и щелкните на объекте Server для экспорта (Export (Back Up)) всей конфигурации ISA Server 2006.

http://best-itpro.narod.ru/forum/13052009-01.jpg
Рисунок 1: Экспорт всей конфигурации ISA Server 2006.

Существует возможность экспортировать конфиденциальную информацию вроде разделяемых секретов RADIUS или настройки ролей ISA Server. Если вы хотите экспортировать конфиденциальную информацию, вам необходимо указать пароль, защищающий XML файл от попыток неавторизованного импорта.

http://best-itpro.narod.ru/forum/13052009-02.jpg
Рисунок 2: Экспорт конфиденциальной информации.

Затем укажите имя файла для конфигурационного файла ISA Server 2006.

Установка Forefront TMG.

Начните установку Forefront TMG и выберите сценарий установки, который вы хотите следовать. Если вы хотите установить полный набор служб Forefront TMG без зависимостей, выберите первую опцию установки.

http://best-itpro.narod.ru/forum/13052009-03.jpg
Рисунок 3: Выберите нужный вам сценарий установки.

Выберите компоненты, которые вы хотите установить. В нашем случае мы устанавливаем все доступные компоненты.

http://best-itpro.narod.ru/forum/13052009-04.jpg
Рисунок 4: Выберите нужные вам функции.

Установка Forefront TMG длится немного дольше, чем установка ISA Server 2006, так что у вас будет время для чашечки кофе.

После успешного завершения установки Forefront TMG при первом запуске консоли управления Forefront TMG вызывается мастер Getting Started, который поможет вам выполнить первоначальную настройку. Этот шаг не является необходимым, если вы хотите импортировать конфигурацию ISA Server 2006. Вы можете использовать этот мастер уже после успешного переноса конфигурации ISA Server 2006.

http://best-itpro.narod.ru/forum/13052009-05.jpg
Рисунок 5: Forefront TMG мастер Getting Started.

Импортируйте (Import (Restore)) конфигурацию ISA Server 2006.

http://best-itpro.narod.ru/forum/13052009-06.jpg
Рисунок 6: Импорт экспортированной конфигурации ISA Server 2006.

Укажите имя файла экспортированной конфигурации ISA Server 2006.

http://best-itpro.narod.ru/forum/13052009-07.jpg
Рисунок 7: Укажите имя XML файла экспортированной конфигурации ISA Server 2006.

В процессе перехода конфигурация Microsoft ISA Server 2006 обновится для Forefront TMG.

http://best-itpro.narod.ru/forum/13052009-08.jpg
Рисунок 8: Конфигурация ISA 2006 обновляется в формат TMG.

Введите пароль, который вам нужно было ввести при экспорте конфигурации ISA Server 2006 с включенной опцией экспорта конфиденциальных настроек.

http://best-itpro.narod.ru/forum/13052009-09.jpg
Рисунок 9: Введите пароль для открытия файла экспорта.

Теперь Forefront TMG импортирует и преобразуется настройки из конфигурации ISA Server 2006. Это может занять несколько минут в зависимости от размера экспортированной конфигурации ISA Server 2006 и производительности машины с Forefront TMG.

http://best-itpro.narod.ru/forum/13052009-10.jpg
Рисунок 10: В зависимости от производительности сервера и количества импортируемых данных, импорт конфигурации может занять некоторое время.

После успешного импорта конфигурации щелкните Apply для сохранения конфигурационных настроек.

Теперь настало время проверить, все ли настройки были успешно перенесены. Возможно, некоторые из них перенести невозможно в силу различия между ISA Server 2006 и Forefront TMG.

http://best-itpro.narod.ru/forum/13052009-11.jpg
Рисунок 11: Поздравления, политики брандмауэра были успешно импортированы.

Замечание: ISA Server 2006 является частью домена Windows 2003 и группы Windows, имеющей доступ к VPN функциям ISA Server. Целевой сервер Forefront TMG Server является членом рабочей группы, поэтому информация о конфигурации VPN становится ненужной. Вам следует вручную удалить эти и еще некоторые настройки.

http://best-itpro.narod.ru/forum/13052009-12.jpg
Рисунок 12: Пользовательская группа Windows, ставшая ненужной из-за того, что целевой сервер не является частью того же домена и дерева.

В процессе перехода статически настроенные диапазоны адресов клиентов VPN не были успешно импортированы. Forefront TMG указывает на конфигурационную ошибку, считая диапазон адресов клиентов VPN пустым. Я думаю, что эта ошибка касается только моей машины, а если нет, то Microsoft решит эту проблему в последней версии Forefront TMG.

http://best-itpro.narod.ru/forum/13052009-13.jpg
Рисунок 13: После импорта появились некоторые конфигурационные ошибки.

В Microsoft Forefront TMG есть множество файлов журнала, которые будут созданы при установке или в процессе импорта из ISA Server 2006. Вам нужно проверить эти файлы, если вы сталкиваетесь с проблемами в процессе перехода.

http://best-itpro.narod.ru/forum/13052009-14.jpg
Рисунок 14: Множество файлов журнала, созданный в процессе установки и импорта конфигурации.

Вывод ISA 2006 из эксплуатации.

* После успешного импорта конфигурации в Forefront TMG пора заменить ISA Server на Forefront TMG. Вот что для этого нужно сделать:
* Отключить Forefront TMG от всех сетей;
* Переписать все IP адреса с ISA Server на Forefront TMG;
* Выключить сервер TMG;
* Пересоединить все кабели от сервера ISA к серверу TMG;
* Выключить сервер ISA;
* Запустить сервер Forefront TMG;
* Проверить корректность работы сервера Forefront TMG;
* Запустить сервер ISA снова без сетевых соединений и удалить ISA Server со старой машины.

Заключение.

В этой статье я попытался показать вам, как перейти с ISA Server 2006 на новую систему Microsoft Forefront TMG Server. Не существует возможности обновления на месте, так как Microsoft Forefront TMG можно запустить только под Windows Server 2008 64 Bit, а ISA Server 2006 работает на 32-битной платформе, поэтому вам необходимо экспортировать конфигурацию работающего сервера ISA Server 2006 и импортировать эту конфигурацию на новый сервер с Microsoft Forefront TMG Server. Процесс перехода аналогичен обновлению с ISA Server 2004 до ISA Server 2006, но, пожалуйста, помните, что в этой статье мы работаем с бета-версией Microsoft Forefront TMG, и в финальной версии могут произойти некоторые изменения.

Автор. Марк Гроут (Mark Grote).
По материалам сайта Isaserver.ru

0